月度存档: 十二月 2010

出关

10多天的闭关开发,终于结束,还是满有意思的。

网站终于成功上线,虽然最后关头还是出了不少乱子,不过都坚持过来了,领着大家最后两个近乎的通宵,终于达到了目标。

和刘硕几个看了让子弹飞,真他妈给力啊!看得出来每一个桥段都是精雕细琢,没一点浪费的镜头。

最后一幕当时没有看懂,不过今天回家的时候霎时感受到了姜文想要表达的东西,当你领着一群人向着一个艰难的目标奋斗时,是激情四射的,当达到目标时,也是心潮澎湃的,不过之后的,就是一个人回家,一个人去肯德基买外卖,一个人坐在电脑前看美剧,虽然远没那么壮烈,那么意义深远。

世事往往如此,当你费尽心力的追求到了某个目标却无人分享喜悦,结局也不能算是完美。

封闭的日子

封闭开发第三日:

合理的运用资源是对的,有人就要利用起来,才可以更好的思考其他的事情,恩恩。

在欧园要比想象中的自在,首先受人敬仰,只要能把事情掰开揉碎安排明白,便不会有太多问题,大家也会信心十足,对任务的完成有十足的把握;其次吃的很好,各种饭菜随意点,没有重样的,还可以变着法买各种零食水果,补充营养;再次这里很暖和(其实是最重要的一点。。)热水保洁俱全,估计离开这里的时候会很有些失落。。。

一群人住在一起也是蛮有意思的,彼此增进了解,观察每个人的表现和习惯,对今后工作很有帮助。以前是自己宅,现在一群人宅哈哈。

可以上网,可以外出,这封闭其实也没有那么的严格,没有那么的科技,但是有那么几分浪漫。这么说有点恶心,千万不能往恶心的方向琢磨,这里指的是一群人毫无杂念的奋斗、进步过程,专注在一个共同的目标上,一定程度上符合了我那团队创业的幻想,很是难得。

自己也在进步吧,但是依然不够明显,努力工作并不是我的目标,现在的生活虽然有计划有效率但是依然不是我想要的,越来越觉得对资源的掌控是管理中最重要的,保证成效,同时也不会把自己搞的很累。

至于其他方面,感觉好像是退化了,今天偷闲看了看早的日志,那种敏感和对生活细节的感触已经荡然无存,现在已经再也写不出那些相对“精致”的文字,不知道日本的这位朋友你怎么看。

也许是生活越来越目的化了,阶段性目标成了重中之重,其他一切皆无所谓,不知是可喜还是可悲,不过即便是可悲,也要可悲下去,此事决无动摇余地。

生活也变得模块化了,以周为单位,甚至以月为单位,完成多少进度,报了多少工作量,发了多少工资,攒下多少学费。。。甚至后三个月要做哪些事情已经确定下来,大体不会变,只有明年这个时候,似乎还比较值得好奇与期待。

也许算顺利吧,但要居安思危,未雨绸缪,我似乎是一直这样的谨慎,虽然没有看到什么确实的效果呢,不过保持下去吧,莫非这就叫哲学~

开心的理由很具体,不开心却常常不知道为什么不开心,可能那部分敏感还未死。

是因为天平么?还是只有我么?顺势中伤感,悲伤中涅槃。(。。。这句只为凑辙押韵)貌似没有经历过挫折就会对好的生活产生怀疑,并不珍惜,对人可能也是如此。不过既然清楚这人性就要逆之而上,坚守好的生活,或者把它当做困苦,奔向更远大的目标就好了。

再一次,天平易伤感摇摆不定,但是此事绝无周旋余地,自勉。

好久不唧唧歪歪了,这次不再推敲了,只为以后回顾留点念想吧。

#########

另补充下,今天找流量监控工具,好些都很麻烦,要装各种包,最后发现了个叫ifstat的感觉不错,简单清爽,虽然没有很详细的监控,不过发现问题之后在进行详细的监控也不迟,至少攻击引发的高流量已经被控制住。

于是乎扔进crontab每时记录日志备查。

下一步需要研究一下如何定期压缩更换日志文件,大多就是shell的写法问题了,另外就是想些办法让服务器出问题时候自动报警,这里可能稍麻烦。另外再挂一个定时的php任务,至此,服务器的调配就算基本完成了。

如果说还要用iptables,就仅限于已有规则设置吧,connlimit的并发控制意义并不是很大,搁置。

linux记录之二:防攻击设置

这是个未竟的事业。。。

服务器频繁被攻击,几百个等待中的80端口访问,虽然CUP负荷不高,但已造成带宽紧张,正常访问频频丢包,很符合DDos的表象。

尝试了几种方法:

1,限制ip访问,使用/etc/hosts.deny 增加非北京市的访问ip(基本用户只在北京。。使用ip批量查找工具)。不过堵不是办法,攻击是可以伪造地址的,禁止是没有意义的,这种方式对付内网的攻击还可以,这里不适用。

2,减小等待时间:这种方式还是有点功效,至少不会让处于等待的链接长时间存在。

3,躲。。。修改了ip地址,但是无效。。。依然被攻击,想换访问端口但是dns服务商那不支持。。。不管怎么样逃避总是不好的,不再深究。

4,感觉最靠谱的是用iptables进行过滤,connlimit插件可以控制单个ip的链接数量,这个东西意义非凡,不过安装太麻烦。。。需要内核支持,iptables版本也要升级,折腾了一晚上还没搞定。。。期待中。。。

等待最后方法的效果吧,待续。。。。

12月11日 封闭第一天:

凌晨继续研究,换了帖子中的版本的补丁,iptables,用了和当前版本对应的kernel,全扔进/usr/src。然后下载模块,编译,放入相应文件夹。。。

使运行报错!iptables: Invalid argument!!

depmod –a 和 modprobe ipt_connlimit 完全没有问题,lsmod | grep ip 也显示正常,可一加载带connlimit的规则就报错!

疯鸟。。。

已经下午3点了,必须进行战略调整了,另还有人说connlimit浪费资源的,所以暂时搁置吧。。。等放到家里试验机上去折腾尝试。

再晕倒,刚发现系统是64位的。。。更加艰难困苦了。。。

linux记录之一:ssh登录设置小结

淘宝是个好东西,以后内衣裤非山寨CK的不穿了~~

扯远了。。。没时间去村儿里,终于淘宝来了交换机,本子上server版的CentOS终于能上网了。

首先当然是折腾ssh登录,CentOS5.4自带了OpenSSH,所以安装省了,直接vi /etc/ssh/sshd_config修改设置。

下面是需要设置的逐项介绍:

Port 22  #打开 使用22端口

Protocol 2,1 #打开 兼容ssh1,ssh2方式

ListenAddress 0.0.0.0 #打开 监听所有网卡

PermitRootLogin no #为了安全不允许root用户远程登录 只能用su切换角色 注意:用su root可以切换到root用户 但是无法带入环境变量 如果需要带入环境变量用su – root

######

PermitEmptyPasswords no #禁止空密码登录

PasswordAuthentication no #禁止密码登录 取消用户名、密码的登录方式

######

RSAAuthentication yes #是否允许使用纯 RSA 公钥认证。仅用于SSH-1。默认值是”yes”。

PubkeyAuthentication yes #使用公密钥认证方式

AuthorizedKeysFile  .ssh/authorization #设置公钥保存路径

######

必要的设置就是这些 其他的参数说明可以参阅 http://lamp.linux.gov.cn/OpenSSH/sshd_config.html 有详细的说明。

最后service sshd start 服务器设置完毕。

下一步就是怎么设置客户端软件登录,这里其实有些麻烦,每种连接软件都有自己的key生成器,生成的key大相径庭,纵使都是1024位的SSH-2 RSA,内容、格式、长度也都不一样。这就导致了不同连接软件可能需要有不同的公钥密钥。不过服务器上的还算能够统一,经验验证只要把key全部放在一行内就能识别,格式为:

ssh-rsa AAAAAAAAB3NzaC1y……IvOWIGVxUos= rsa-key-20101205

存入.ssh/authorization即可。

初级说明暂时到这里,有更多必要的安全控制稍后补充。

加几句:

ssh软件推荐SSH Secure Shell Client 白色底色和其他软件反差比较小,其实都是黑色底色的比较保护眼睛,不过IDE啊网页啊FTP软件啊全部都搞成黑色的比较困难,一黑一白反而伤眼睛,所以索性都用白的吧。

SFTP软件推荐CuteFTP,很多方便节省时间的设置,而且他们是可以用一套公密钥的happy~,PuTTY暂时不可以。